EJERCICIO: CONFORMIDAD CON LOS REQUISITOS

Instrucciones:
Identifique el número de cláusula o control de ISO/IEC 27001 que considere el más
adecuado para el enunciado.

Duración:
40 minutos de ejercicio en equipos
15 minutos de retroalimentación con el grupo.

Enunciado Número de
Cláusula/Control
1 La organización asegura la revisión y la aprobación al crear y
actualizar la documentación.
2 La organización ha implementado un control para asegurar
que los contratistas reciban la capacitación adecuada de
seguridad de la información.
3 La organización ha determinado las partes interesadas de la
seguridad de la información.
4 La organización realiza evaluaciones de riesgos de seguridad
de la información cada vez que se realiza un cambio
considerable.
5 La organización cuenta con procedimientos y controles para
asegurar el nivel requerido de continuidad de seguridad de la
información durante situaciones adversas.
6 La organización se asegurará de que los empleados devuelvan
las laptops y teléfonos de la compañía cuando dejen de laborar
allí.
7 La organización ha seleccionado auditores internos para
asegurar que sean objetivos e imparciales.
8 La organización ha definido los criterios de aceptación de
riesgos de seguridad de la información.
9 Los directivos deberán asegurar que el sistema de gestión de
seguridad logre los resultados planeados.
10 La organización deberá planear cómo integrar e implementar
las medidas para abordar los riesgos y las oportunidades en los
procesos de su sistema de gestión de seguridad de la
información.
11 La organización clasifica su información en términos de
confidencialidad para evitar una revelación no autorizada.
12 La organización monitorea, revisa y audita regularmente el
suministro del servicio del proveedor.
13 La organización debe determinar y proporcionar los recursos
 necesarios para el establecimiento, implementación,
mantenimiento y mejora continua del sistema de gestión de
seguridad de la información.
14 La organización ha diseñado y aplicado seguridad física a
oficinas, recintos e instalaciones.
15 La organización incluye la seguridad de la información en la
gestión de proyectos independientemente del tipo de
proyecto.
16 La organización cuenta con un proceso formal y comunicado
para emprender acciones contra empleados que han cometido
violaciones de seguridad de la información.
17 La alta dirección se ha asegurado que la política de seguridad
de la información y sus objetivos son compatibles con la
dirección estratégica.
18 La organización ha definido y aplicado procedimientos para
identificar, recolectar, adquirir y preservar información que
pueda ser utilizada como evidencia.
19 Se deben revisar periódicamente los sistemas de información
para determinar su cumplimiento con las políticas y normas de
seguridad de la información.
20 En la organización solo se han permitido accesos de usuarios a
los servicios de red a los usuarios autorizados específicamente.